YouTubeを見た11万人以上がマルウェアに感染、原因は「広告」

By MBK (Marjie)

ユーザーを悪意のあるコードが含まれたウェブサイトに飛ばす、という広告がしばしば猛威をふるっていますが、この種の広告がYouTube上でも配信されていたことが判明し、なんと1カ月で約11万3000人がマルウェアに感染していたことが発覚しました。

YouTube Ads Lead To Exploit Kits, Hit US Victims | Security Intelligence Blog | Trend Micro
http://blog.trendmicro.com/trendlabs-security-intelligence/youtube-ads-lead-to-exploit-kits-hit-us-victims/

インターネットセキュリティ企業のTrend Microは、過去数ヶ月の間、広告から悪意のあるサイトに直接ユーザーを飛ばす、という悪意のある攻撃を調査してきました。この調査によると、アメリカでは30日間で約11万3000人ものユーザーがこの悪意のある攻撃からマルウェアに感染してしまったことが明らかになっています。

この攻撃はYouTube上に表示される広告をクリックすることでスタートし、2つのウェブサイトを経由して悪意のあるコードが埋め込まれたサイトにたどり着き、そして脆弱性を利用してPCにマルウェアを感染させる、というもの。Trend Microによると、YouTube上で配信されていた広告は、人気の高いミュージックビデオに表示されることで、なんと1100万回以上ユーザーに見られたそうです。

By MBK (Marjie)

Trend Microの調査によると、YouTube上に表示される広告は直接悪意のあるコードが埋め込まれたサイトにユーザーを飛ばすわけではなく、2つの広告サイトを経由して、悪意のあるウェブサイトまで誘導します。サイトから他のサイトへリダイレクトするためのサーバーはオランダにあり、最終的に開かれることとなるサイトには悪意のあるコードが埋め込まれており、ここからマルウェアに感染してしまうというわけ。なお、悪意のあるコードが埋め込まれている方のウェブサイトは、アメリカにサーバーが置かれているそうです。

悪意のある広告を仕掛けたアタッカーは、ポーランド政府のDNS情報を書き換えて使用していたそうです。現在のところアタッカーに関する詳細な情報はつかめておらず、アタッカーは自身のサーバーからサブドメインを追加することでDNS情報を書き換えることに成功したことは判明していますが、その他の詳細な方法については現在も不明なままとなっています。

また、アタッカーがマルウェアを感染させるために使用したのは「Sweet Orange」と呼ばれるエクスプロイトキットで、これはJavaの「CVE-2013-2460」、Internet Explorerの「CVE-2013-2551」と「CVE-2014-0322」、Flashの「CVE-2014-0515」という4つの脆弱性を利用して、セキュリティ上の脆弱性を攻撃してくるものです。そして、最終的にユーザーが感染させられることとなるマルウェアの名前は、「TROJ_KOVTER.SM」というもの。これはユーザーのPCに侵入し、ファイルを勝手に暗号化したりパスワードを設定したりすることでアクセス不能な状態にし、データを正常にアクセスできるように戻すためには金銭を要求してくる、というランサムウェアと呼ばれるもののひとつで、「CryptoLocker」のように精巧な攻撃を仕掛けてくる危険なものだそうです。

By Pierre Lecourt

しかし、「Sweet Orange」が使用していた脆弱性に対するパッチはMicrosoftが2013年の5月に配布しているので、PCのシステムを常に最新の状態にアップデートしているユーザーはこのマルウェアに感染することはなかったでしょう、とTrend Microは言及しています。

なお、今回発見された悪意ある広告による攻撃でマルウェアに感染したユーザーの割合は以下の通り。大半がアメリカのユーザーであるとはいえ、日本人ユーザーの多くも被害に遭っているであろうことが伺えます。